작업 공간 분석 감사 로그Workplace Analytics audit logs

Office 365 포털을 통해 회사 365 감사 로그가 생성 되 고 액세스 됩니다.The Office 365 audit logs are generated and accessed in the Office 365 portal. Exchange 관리자는 이러한 로그에 액세스 하 여 일반적인 사용자 활동 및 작업 (예: 액세스 권한, 액세스 시도 또는 수정 된 데이터 확인)을 감사 하거나 추적할 수 있습니다.As an Exchange admin, you can access these logs to audit or track general user activities and actions, such as to see who accessed, tried to access, or modified data.

이러한 로그는 일반적으로 중요 한 데이터를 포함 하는 작업 공간 분석 작업에 대 한 감사 섹션을 포함 합니다.These logs include an audit section for Workplace Analytics activity, which typically includes sensitive data. 조직의 개인 정보 보호 및 보안 정책을 준수 하도록 모든 사용자 작업에 대 한 조직 데이터를 모니터링 하 고 추적할 수 있습니다.You can monitor and track your organizational data for all user actions to ensure compliance with your organization's privacy and security policies.

액세스 요구 사항Access requirements

감사 로그에 액세스 하려면 먼저 다음 요구 사항을 충족 해야 합니다.You must meet the following requirements before you can access the audit logs:

  • Office 365 보안 & 준수 센터의 감사 섹션에 액세스 하려면 Office 365 Enterprise E3 및 E5 구독에 포함 된 Exchange Online 라이선스가 있어야 합니다.To access the auditing section of the Office 365 Security & Compliance Center, you must have an Exchange Online license (included with Office 365 Enterprise E3 and E5 subscriptions).
  • 그리고 전역 관리자 이거나 감사 로그에 대 한 액세스를 제공 하는 Exchange 관리자 역할이 있어야 합니다.And you must either be a Global admin or have an Exchange admin role that provides access to the audit log. Exchange 관리 역할은 Exchange 관리 센터를 통해 제어 됩니다.Exchange admin roles are controlled through the Exchange Admin center. 자세한 내용은 Exchange Online의 사용 권한을참조 하세요.For more information, see Permissions in Exchange Online.
  1. 감사 로그는 Office 365 보안 & 준수 센터를 통해 제공 됩니다.The audit logs are available through the Office 365 Security & Compliance Center. Protection.office.com으로 이동 합니다.Go to protection.office.com.
  2. 관리자 자격 증명을 사용 하 여 Office 365에 로그인 합니다.Sign in to Office 365 with your admin credentials.

감사 로그에 대 한 활동을 기록 하려면To record activities for the audit logs

Office 365 감사 로그를 검색 하려면 먼저 (또는 다른 관리자) 감사 로깅을 설정 해야 합니다.Before you can search the Office 365 audit log, you (or another admin) must first turn on audit logging:

  1. Office 365 포털의 페이지에 있는 보안 & 준수 섹션으로 이동한 다음 왼쪽 탐색 창에서 검색 & 조사 를 확장 합니다.Go to the Security & Compliance section on the Home page of the Office 365 portal,and then expand Search & Investigation in the left navigation pane.

  2. 감사 로그 검색을 선택 하 고 사용 가능한 경우 사용자 및 관리자 활동 기록을 시작합니다 .를 선택 합니다.Select Audit log search, and if available, select Start recording user and admin activities. (이 링크가 표시 되지 않으면 조직에서 감사가 이미 설정 되어 있는 경우)(If you don't see this link, auditing is already turned on for your organization.)

    기록을 시작한 후에는 "감사 로그를 준비 하 고 있습니다." 라는 메시지가 표시 됩니다.After you start recording, you'll see an "audit log is being prepared" message appear. 감사 로그에서 기록 된 작업을 검색 하려면 몇 시간이 걸릴 수 있습니다.It might take a few hours before you can search recorded activities in the audit logs.

작업 공간 분석 활동을 보려면To view Workplace Analytics activities

  1. Office 365 포털의 페이지에 있는 보안 & 준수 섹션의 왼쪽 탐색 창에서 검색 & 조사 를 확장 하 고 감사 로그 검색을 선택 합니다.In the Security & Compliance section on the Home page of the Office 365 portal, expand Search & Investigation in the left navigation pane, and then select Audit log search.

    감사 로그 검색

  2. 감사 로그 검색 페이지의 검색 섹션에서 모든 활동에 대 한 결과를 표시하도록 선택 합니다.In the Search section of the Audit log search page, select to Show results for all activities.

  3. 시작 날짜 섹션에서 날짜 범위를 선택 합니다.In the Start date section, select a date range.

    • 최대 날짜 범위 90 일을 사용 하려면 시작 날짜의 현재 날짜 및 시간을 선택 합니다.To use the maximum date range of 90 days, select the current date and time for the start date. 그렇지 않으면 시작 날짜와 종료 날짜 보다 이전인 오류가 발생 합니다.Otherwise, an error occurs about the start date being earlier than the end date.
    • 지난 90 일 동안 감사를 설정 하는 경우 감사가 설정 되기 전에는 날짜 범위를 시작할 수 없습니다.If you turned auditing on in the last 90 days, the date range can't start before auditing was turned on.
  4. 모든 사용자 및 서비스 계정에 대 한 작업을 반환 하려면 users 필드를 비워 둡니다.To return activities for all users (and service accounts), leave the Users field blank. 또는 사용자 필드에 하나 이상의 사용자 이름 (직장에서 로그인 하는 데 사용 하는 계정 전자 메일)을 입력 하 여 해당 사용자의 작업만 볼 수 있습니다.Or you can enter one or more user names (the account email they use to log in to Workplace Analytics) in the Users field to only see those user activities.

    감사 로그 사용자

  5. 검색 필드에 Microsoft 작업 사이트 분석 작업을 입력 한 다음 검색을 선택 합니다.In the Search field, enter Microsoft Workplace Analytics Activities, and then select Search. 다음은 예제 활동 목록입니다.The following is a list of example activities.

    감사 로그 활동

  6. 감사 로그 검색 페이지의 결과 섹션에는 최대 5000의 가장 최근 이벤트가 150로 증가 하 여 표시 됩니다.The Results section of the Audit log search page shows a maximum of 5,000 of the most recent events, in increments of 150. 이 섹션의 스크롤 막대를 사용 하 여 다음 150 이벤트를 표시 합니다.Use the scroll bar in this section to show the next 150 events. 이 섹션에는 다음 정보를 포함 하는 감사 로그 이벤트가 나열 됩니다.This section lists the audit log events, including the following information. 열 머리글을 선택 하 여 목록을 정렬할 수 있습니다.You can select a column header to sort the list by it.

    Column 정의Definition
    날짜Date 이벤트가 발생 한 날짜 및 시간 (UTC 형식)입니다.The date and time (in UTC format) when the event occurred.
    IP 주소IP address 장치의 활동이 기록 될 때 사용 된 IP 주소입니다.The IP address that was used when the activity from a device was logged. IP 주소는 IPv4 또는 IPv6 주소 형식으로 표시 됩니다.The IP address is shown in IPv4 or IPv6 address format.
    사용자User 이벤트를 트리거한 작업을 수행한 사용자 또는 서비스 계정입니다.The user (or service account) who performed the action that triggered the event.
    활동Activity 사용자가 수행 하는 작업입니다.The activity performed by the user. 이 값은 활동 드롭다운 목록에서 선택한 활동에 해당 합니다.This value corresponds to the activities that you selected in the Activities dropdown list. Exchange 관리자 감사 로그의 이벤트에 대한 이 열의 값은 Exchange cmdlet입니다.For an event from the Exchange admin audit log, the value in this column is an Exchange cmdlet.
    항목Item 해당 활동으로 인해 만들어지거나 수정 된 개체입니다.The object that was created or modified because of the corresponding activity. 예를 들어, 보거나 수정한 파일 또는 업데이트 된 사용자 계정입니다.For example, the file that was viewed or modified, or the user account that was updated. 이 열의 모든 활동에 값이 있는 것은 아닙니다.Not all activities in this column have a value.
    자세한 정보Detail 활동에 대 한 추가 세부 정보입니다.Any additional detail about an activity. 일부 작업에는 값이 없습니다.Not all activities have a value.

    감사 로그의 검색, 필터링 및 내보내기 결과에 대 한 자세한 내용과 팁 은 Search the audit log을 참조 하십시오.For more details and tips on searching, filtering, and exporting results in the audit log, see Search the audit log.

  7. 결과 섹션의 목록에서 이벤트를 선택 하 여 해당 항목에 대 한 세부 정보를 확인 합니다.In the Results section, select an event from the list to view more details about it.

  8. 세부 정보 페이지에는 이벤트가 발생 한 Office 365 서비스를 기반으로 하는 이벤트 속성이 표시 됩니다.A Details page shows the event properties, which are based on which Office 365 service that the event occurred in. 자세한 내용을 보려면 추가 정보 를 선택 합니다.Select More information to view more.

    감사 로그 세부 정보

작업 공간 분석 활동Workplace Analytics activities

다음 표에서는 감사 로그에서 기록할 수 있는 작업 공간 분석 작업에 대해 설명 합니다.The following tables describe Workplace Analytics activities that the audit logs can record.

관리 활동Admin activities

활동Activity 설명Description
업로드 된 조직 데이터Uploaded org data 관리자가 조직 데이터 파일을 업로드 함Admin uploaded organizational data file
개인 정보 설정 업데이트Updated Privacy Setting 관리자 업데이트 설정Admin updated settings
데이터 액세스 설정 업데이트됨Updated data access setting 관리자가 업데이트 한 데이터 액세스 설정Admin updated data access settings

권한 부여 작업Authorization activities

활동Activity 설명Description
사용자 로그인 됨User logged in 사용자가 유효한 사용자 역할로 작업 영역 분석에 로그인 했습니다.User logged in to Workplace Analytics with a valid user role
사용자가 로그 아웃 됨User logged out 작업 공간 분석 로그 아웃을 위해 선택한 사용자User selected to log out of Workplace Analytics

쿼리 데이터 액세스 (분석가) 작업Query data access (analyst) activities

활동Activity 설명Description
실행 쿼리Executed Query 분석가가 쿼리를 실행 했습니다.Analyst ran a query
취소 쿼리Cancelled Query 분석가가 실행 중인 쿼리를 취소 함Analyst cancelled a running query
결과 삭제Delete Result 분석가가 쿼리 결과를 삭제 함Analyst deleted a query result
다운로드 한 보고서Downloaded Report 분석가가 쿼리 결과를 다운로드 했습니다.Analyst downloaded a query result
OData 링크 액세스됨Accessed OData link 분석가가 OData 링크에 액세스Analyst accessed the OData link
모임 제외 만들기Create Meeting Exclusion 분석가가 새 모임 제외 규칙을 만들었습니다.Analyst created a new meeting exclusion rule
업데이트 된 기본 설정 모임 제외Updated Preferred Meeting Exclusion 분석가가 기본 설정 모임 제외 규칙을 업데이트 했습니다.Analyst updated the preferred meeting exclusion rule

데이터 액세스 작업 탐색Explore data access activities

활동Activity 설명Description
탐색 보기Viewed Explore 분석가가 하나 이상의 탐색 페이지를 확인 했습니다.Analyst viewed one or more Explore pages.

이벤트 속성에 대 한 자세한 내용은 감사 로그의 자세한 속성을 참조 하십시오.For more information about event properties, see Detailed properties in the audit log.

PowerShell을 사용 하 여 로그 검색Use PowerShell to search the logs

또한 PowerShell을 사용 하 여 로그인에 따라 감사 로그에 액세스할 수도 있습니다.You can also use PowerShell to access the audit logs based on your login. 새 PSSession 명령을 사용 하려면 계정에 다음이 필요 합니다.To use the New-PSSession command, your account must have:

  • 할당 된 Exchange Online 라이선스An Exchange Online license assigned to it.
  • Office 365 테 넌 트에 대 한 감사 로그 액세스Access to the audit log for the Office 365 tenant.

다음 예제 코드에서는 Search-unifiedauditlog 명령을 사용 하 여 작업 공간 분석 감사 로그 항목을 가져옵니다.The following example code uses the Search-UnifiedAuditLog command to get Workplace Analytics audit log entries.

  ```

   Set-ExecutionPolicy RemoteSigned
   $UserCredential = Get-Credential
   $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection
   Import-PSSession $Session
   Search-UnifiedAuditLog -StartDate 1/1/2019 -EndDate 1/31/2019 -RecordType WorkplaceAnalytics-ResultSize 1000 | Format-Table | More

  ```

Exchange Online에 연결 하는 방법에 대 한 자세한 내용은 Connect To Exchange Online PowerShell을 참조 하십시오.For more about connecting to Exchange Online, see Connect to Exchange Online PowerShell.